2014년 4월 7일, 공격자가 비밀 키 및 암호와 같은 서버 메모리에서 중요한 정보를 볼 수 있는취약점(CVE-2014-0160)이출시되었습니다. 이 문제의 심각성을 감안할 때 Linode는 고객과 해당 정보를 잠재적 인 공격으로부터 안전하게 유지하는 데 필요한 조치를 취했습니다.
나는 취약합니까?
하트블리드가 1년 넘게 야생에 있었던 이후, 서버는 한동안 손상되었을 수 있습니다. 이 취약점은 악의적인 활동의 흔적을 남기지 않고 정보를 추출할 수 있는 공격자에게 시스템을 노출시합니다.
관리자가 시스템의 취약점을 테스트할 수 있는 도구가 게시되었습니다. 사이트에 SSL 인증서가 있는 경우 Heartbleed 테스트 페이지로 이동하여웹 사이트 URL을 입력하고 취약점 테스트를 실행합니다. 이 도구의 소스는 GitHub에서찾을 수 있습니다. 합격 점수가 시스템이 다른 방식으로 취약하지 않다는 것을 의미하지는 않습니다. 이전 라이브러리에 대해 컴파일된 소프트웨어를 다시 컴파일해야 합니다.
Linode가 취약합니까?
이 취약점이 공개되는 즉시 보안 팀은 모든 인프라에서 버그를 패치하기 위한 업그레이드를 완료했습니다. 문제의 특성상 시스템에 대한 전체 감사를 완료하고 영향을 받는 인증서를 재생하는 중입니다.
시스템 보호
모든 Linode 고객이 취약한 라이브러리에 대해 컴파일된 소프트웨어 업데이트를 실행하고 소프트웨어를 다시 컴파일하도록 장려하고 있습니다. 현재 모든 패키지 미러는 이 문제에 대한 수정 사항이 포함된 패키지로 업데이트되었습니다. 시스템 패치 및 SSL 인증서 재발행에 대해 자세히 알고 싶다면 Linode 라이브러리에서 가이드를 확인하십시오.
댓글 (10)
On the VMs, I assume that it is “impossible” for vulnerable tenant to affect his/her neighbor who is patched.
The question is _WAS_ linode infra vulnerable? Is there the chance that passwords have been stolen?
If you were using an older version of openssl (CentOS 5 or even CentOS 6.4 or older) then you were never vulnerable.
What linode servers were vulnerable, and over what time period?
Seems that all of your packages have not been updated, just specific packages for specific releases. If you’re not running one of those specific releases, you either have to upgrade your entire distribution or keep running vulnerable software.
@camper67 That is correct. In fact, this vulnerability cannot even leak data from other processes on the same machine.
Stephen, of course it was. Most of the internet was/is. It was introduced about 2 years ago, so potentially for that duration of time.
Theoretically for most of the internet, including Linode, it is possible some sensitive information was leaked however since the exploit/PoC was only released yesterday (and immediately patched) I think the chance of that is very small.
Hey guys
Can I assume we’ll see an update when the new certificates are deployed and the audit is complete? There’s no point changing passwords until then.
cheers.
J Irving,
Everything is good. You can check the site referenced in the blog post against the Linode URLs and we pass:
http://filippo.io/Heartbleed/#manager.linode.com
http://filippo.io/Heartbleed/#blog.linode.com
http://filippo.io/Heartbleed/#www.linode.com
Ricardo,
I don’t think you’ve answered J Irving’s question. Tests like filippo.io/Heartbleed can tell us whether a vulnerable OpenSSL implementation is present at the time of the test.
However, according to my understanding, the test can’t tell us whether the private key and certificate being used were issued *after* all services were updated to a non-vulnerable version.
For that, we need an explicit statement from Linode.
Cheers,
Matthew
Anyone that continues to see use the same passwords after this terrible event that took years for the hosting community to find out. Is not thinking straight. If you have ever your credit card into an Open SSL encrypted gateway for typed in anything on what he felt was historically safe. you were wrong.
Change your passwords ASAP
Matthew: The private key and certificate being used were created after all services were updated to non-vulnerable versions, and the old certificates have been revoked.